Come posso verificare se un dominio utilizza DNSSEC?


20

DNSSEC è stato distribuito su alcuni topdomain ora. Ma come posso vedere se un sito / dominio utilizza DNSSEC? È mostrato nel browser? o c'è qualche comando di Windows o Linux per vederlo? o uno strumento per questo?

Risposte:


19

dig [zone] dnskey

Ciò ti mostrerà se nella zona è presente il RRKEY DNS richiesto per la convalida dei RRset nella zona.

Se vuoi vedere se il tuo server ricorsivo sta convalidando la zona,

dig +dnssec [zone] dnskey

Ciò imposterà il bit DO (dnssec OK) sulla query in uscita e farà sì che il risolutore a monte imposti il ​​bit AD (dati autenticati) sul pacchetto di ritorno se i dati sono convalidati e forniranno anche i relativi RRSIG (se la zona in la domanda è firmata) anche se non è in grado di convalidare la risposta.

Potresti dare un'occhiata all'ultimo gruppo di diapositive nella mia presentazione "DNSSEC in 6 minuti" (molte informazioni sul debug di DNSSEC). Quella presentazione è un po 'lunga per l'implementazione di DNSSEC (dovresti davvero guardare BIND 9.7 per le cose buone), ma il debugging è cambiato poco.

C'è anche una presentazione che ho tenuto a NANOG 50 sulla distribuzione DNSSEC di BIND 9.7 .


2
Mi è stato chiesto su serverfault di ammettere che lavoro effettivamente per ISC, i manutentori di BIND e ISC DHCP. Sono più che felice di aiutare chiunque abbia problemi con uno dei due (tempo permettendo).
Knobee

Le tue diapositive per "DNSSEC in 6 minuti" danno un 404 ora. C'è un nuovo URL?
e40,



-1

Sul terminale: scavare tunnelix.com + dnssec

È necessario trovare la RRSIG (RRset Signature) che punta a una firma DNSSEC.

Risposta da Esempio1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==

Altrimenti, convalida il tuo DNSSEC tramite il correttore DNSSEC online gratuito. https://dnssec-debugger.verisignlabs.com

Per ulteriori informazioni, consultare questi collegamenti che potrebbero essere utili:

https://tunnelix.com/counter-dns-attack-enabling-dnssec/

https://tunnelix.com/anatomy-of-a-simple-dig-result/


2
Sebbene ciò possa teoricamente rispondere alla domanda, sarebbe preferibile includere qui le parti essenziali della risposta e fornire il collegamento come riferimento.
bertieb,

Ho aggiornato la risposta come richiesto. Grazie
Nitin J Mutkawoa
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.